Angesichts der jüngsten Berichte, die Phishing als eines der hartnäckigsten und häufigsten Probleme im Bereich der Cybersicherheit bezeichnen, ist es nicht nur wichtig, den Grad des Risikos zu kennen, dem Ihr Unternehmen ausgesetzt ist, sondern auch zu wissen, wie dieses Risiko am besten gemindert werden kann.
Phishing-Betrügereien gibt es schon seit geraumer Zeit, aber es gibt keine Anzeichen dafür, dass sie in absehbarer Zeit nachlassen werden. Im Gegenteil, sie entwickeln sich ständig weiter. Im vierten Quartal 2016 gab es einen Anstieg der BEC-Angriffe (Business Email Compromise) um 45 % im Vergleich zum vierten Quartal 2015. Das bedeutet, dass Cyberkriminelle mehr auf die Ausnutzung des menschlichen Faktors in Ihrem Unternehmen setzen als auf den Einsatz von Trojanern und automatisierten Cyberangriffen.
Wie können Sie also Ihr Unternehmen vor einem Phishing-Angriff schützen?
1. Phishing-Sensibilisierungsschulung für Mitarbeiter
Es mag ein Klischee sein, aber es ist wahr: Ihre Mitarbeiter sind Ihre beste Verteidigung, wenn es um allgemeine Cybersicherheit und den Schutz Ihres Unternehmens vor einem Phishing-Angriff geht. Vor kurzem wurden wir Zeuge des kolossalen WannaCry-Ransomware-Angriffs. Dieser Angriff machte deutlich, wie eine einfache Phishing-E-Mail, die von einem ahnungslosen Mitarbeiter angeklickt wird, ausreichen kann, um einen großen Cyberangriff auszulösen, der schnell ein ganzes Netzwerk infizieren kann. Dieser Angriff hat gezeigt, wie wichtig die menschliche Firewall im Rahmen eines umfassenden Sicherheitssystems ist. Daher ist es sehr wichtig, in hochwertiges eLearning zur Cybersicherheit zu investieren, damit Sie verdächtige E-Mails erkennen und wissen, welche Schritte Sie unternehmen müssen, wenn Sie einem Phishing-Betrug zum Opfer gefallen sind. In ähnlicher Weise könnten Sie in simulierte Phishing-Übungen für Ihr Unternehmen investieren, bei denen unser hochentwickeltes Produkt MetaPhish zum Einsatz kommt.
2. Vergewissern Sie sich, dass Sie über einen guten Spamschutz und ein Unified Threat Management (UTM)-Gerät verfügen.
Es versteht sich von selbst, dass ein Unternehmen nur dann optimal vor einem Phishing-Betrug geschützt ist, wenn es verschiedene Arten von Sicherheitsmaßnahmen einsetzt. Es mag jetzt wie eine hohe Investition erscheinen, aber die Verdoppelung oder Verdreifachung Ihrer Cyber-Schutzmethoden kann Ihnen auf lange Sicht viel Zeit und Geld sparen! Qualitativ hochwertige Spam-Schutzsysteme und UTMs, die von renommierten Anbietern stammen, sind ein Muss für jedes Unternehmen, das Phishing-Angriffe abwehren will, da die meisten dieser betrügerischen E-Mails in den Netzen hängen bleiben. Da einige dieser E-Mails jedoch sehr raffiniert sind, ist es wichtig, sich bewusst zu machen, dass Spamschutz allein nicht die ultimative Lösung ist und dass auch die Sensibilisierung der Mitarbeiter entscheidend ist.
3. Umsetzung von Leitlinien für Mitarbeiter
Sie sollten ein klares und sicheres Verzeichnis darüber führen, welche Informationen sensibel sind und nicht weitergegeben werden dürfen. Außerdem sollten Sie die Zahl der Mitarbeiter, die Zugang zu diesen Daten haben, begrenzen, um das Risiko zu minimieren, dass diese Daten durchsickern oder über eine Phishing-E-Mail an Cyberkriminelle weitergegeben werden. Es sollten klare Richtlinien aufgestellt werden, die den Mitarbeitern vorschreiben, wie sie mit wichtigen Unternehmensdaten umgehen sollen. Es ist auch eine gute Idee, auf der Grundlage dieser Richtlinien Maßnahmen zu ergreifen, die das Bewusstsein im gesamten Unternehmen schärfen und zeigen, dass Ihre Mitarbeiter Bescheid wissen.
4. Umsetzung einer Politik der sicheren persönlichen Informationen
Um das Risiko zu minimieren, lohnt es sich, über die Einführung einer Richtlinie nachzudenken, die besagt, dass alle sensiblen Informationen, z. B. Bankdaten des Unternehmens, nur sicher per Telefon oder über https-Websites mit sicheren Zahlungsmöglichkeiten übermittelt werden dürfen, niemals per E-Mail. Wenn Sie sicherstellen, dass Ihre Mitarbeiter wissen, dass E-Mails ein riskantes Medium sind, um Zugang zu sensiblen Unternehmensdaten zu erhalten, ist dies der Schlüssel zur Verringerung des Risikos, da Sie nicht sicher sein können, wer am anderen Ende einer E-Mail sitzt. Wenn Banküberweisungen per E-Mail angefordert werden (wie es bei ausgeklügelten Spear-Phishing-Angriffen üblich ist), empfiehlt es sich, die betreffende Person immer direkt anzurufen und sich zu vergewissern, dass diese Anforderung von ihr stammt. Führen Sie dies als gängige Praxis ein, und Sie werden Ihr Risiko erheblich verringern.
5. Ändern Sie regelmäßig Ihre Anmeldedaten für Konten und verwenden Sie unterschiedliche Anmeldedaten für jedes Konto
Das Sprichwort bei MetaCompliance lautet: "Passwörter sind wie Hosen", und es stimmt.
Ändern Sie Ihre Passwörter und Anmeldedaten regelmäßig und lassen Sie sie nicht herumliegen! Je häufiger Sie Ihre Anmeldedaten für Unternehmenskonten ändern, desto geringer ist die Chance, dass Hacker (die sich vielleicht in der Vergangenheit Zugang zu Ihren Konten verschafft haben) immer wieder zurückkehren, um weitere Informationen zu sammeln. Ebenso ist es keine gute Idee, nur einen Satz von Anmeldedaten für alle Unternehmenskonten zu haben! Stellen Sie sich vor, Sie hätten nur einen Hauptschlüssel, der Ihnen Zugang zu jedem Raum in Ihrem Unternehmen gewährt. Sollte sich ein Hacker mit Hilfe von Daten aus einer Phishing-E-Mail Zugang zu einem Konto verschaffen, können Sie sicher sein, dass er dieselben Daten verwenden wird, um Ihre anderen Konten zu hacken. Machen Sie es ihnen nicht noch leichter!
Haben Sie andere Methoden, um Ihr Unternehmen vor Phishing-Angriffen zu schützen? Oder gibt es andere Unternehmensansätze gegen diese Art von Cyberangriffen, die Sie sich für die Zukunft vorstellen können?
